Déclaration du Commissaire à la protection de la vie privée du Canada lors de l’événement Responsabilité des Ressources humaines en matière de protection de la vie privée
Le 5 février 2026
Ottawa (Ontario)
Allocution prononcée par Philippe Dufresne
Commissaire à la protection de la vie privée du Canada
(La version prononcée fait foi.)
Bonjour et merci à tous et à toutes de vous joindre à nous aujourd’hui.
Je tiens à remercier particulièrement notre invitée, Jacqueline Bogden, dirigeante principale des ressources humaines pour le gouvernement du Canada, qui se joint à nous en provenance du Secrétariat du Conseil du Trésor.
Je crois comprendre que plus d’une vingtaine de ministères et d’organismes sont représentés; je vous remercie d’avoir pris le temps de participer à ce qui promet d’être une exploration intéressante de la protection de vie privée dans le contexte des ressources humaines.
En tant que Commissaire à la protection de la vie privée du Canada, je suis un agent du Parlement et j’ai pour mission de protéger et de promouvoir le droit à la vie privée.
Afin de remplir ce mandat, je veille au respect de la Loi sur la protection des renseignements personnels, laquelle porte sur les pratiques de traitement des renseignements personnels utilisées par les institutions fédérales, et de la Loi sur la protection des renseignements personnels et les documents électroniques, la loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada. Il existe plusieurs façons d’y parvenir, notamment grâce à l’application des lois, ainsi qu’au moyen d’activités promotionnelles visant à faire en sorte que les individus et les organisations partout au Canada connaissent et comprennent mieux la protection de la vie privée.
Ce rôle consiste notamment à aider les institutions fédérales à améliorer la façon dont elles gèrent les renseignements personnels qui leur sont confiés. Cela comprend la prestation de conseils, la collaboration avec les organisations fédérales et la mise en commun de ressources et d’outils pouvant être utiles dans ce domaine.
Je suis également heureux de participer à des événements comme celui-ci. Il s’agit d’un événement qui démontre une excellente collaboration avec le Bureau du dirigeant principal des ressources humaines et le Bureau du dirigeant principal de l’information du Secrétariat du Conseil du Trésor, ainsi qu’avec mon équipe du Commissariat à la protection de la vie privée du Canada.
Il est important de collaborer avec des dirigeants comme vous, qui jouez un rôle non négligeable dans le traitement sécuritaire des renseignements personnels à l’échelle du gouvernement fédéral.
En particulier à une époque où, de plus en plus, les institutions fédérales exploitent les technologies et recueillent des données afin de mieux servir la population canadienne.
Cela concerne également les fonctions des ressources humaines, par exemple par l’utilisation accrue de logiciels tiers pour le recrutement et l’exploration de la possibilité d’utiliser l’intelligence artificielle (IA) pour créer des gains d’efficacité.
Ces technologies peuvent offrir des avantages importants, mais aussi présenter de nouveaux éléments à prendre en considération en matière de protection de la vie privée et des renseignements personnels.
C’est pourquoi la collaboration entre les professionnels de la protection de la vie privée et ceux des ressources humaines est si importante, car le fait de travailler ensemble peut contribuer à ce que les renseignements personnels soient recueillis et traités de façon appropriée.
Le gouvernement fédéral est le plus grand employeur du Canada, et peut donner le meilleur exemple quant aux façons dont les employeurs devraient traiter les renseignements personnels de leurs employés.
Votre rôle est essentiel pour faire progresser la protection de la vie privée au sein de vos institutions, tant sur le plan de la protection des renseignements personnels que, de manière plus générale, sur celui de la promotion des compétences modernes des fonctionnaires grâce à l’apprentissage.
Les personnes qui estiment que leurs renseignements sont protégés auront davantage confiance dans leurs institutions publiques. C’est avantageux à la fois pour le Canada et pour la population canadienne.
J’aimerais profiter de l’occasion pour mentionner certaines des raisons qui font que la protection de la vie privée est un facteur important en matière de ressources humaines.
Pourquoi la protection de la vie privée est importante
Bien que la confidentialité soit déjà un principe fondamental pour les professionnels des ressources humaines, l’intégration d’éléments liés à la protection de la vie privée dans vos activités peut fournir une protection supplémentaire aux renseignements personnels confiés à l’organisation.
Comme la plupart des employeurs, le gouvernement fédéral recueille des renseignements personnels sur ses employés.
L’application des principaux principes en matière de protection de la vie privée peut être avantageuse pour votre organisation, par exemple, limiter la collecte de renseignements à ce qui est nécessaire aux fins déterminées.
Vous devriez également réfléchir à la façon dont les renseignements seront stockés, aux personnes qui y auront accès, à la durée de conservation et à la manière dont vous en disposerez lorsqu’ils ne seront plus nécessaires. Une séance qui aura lieu plus tard dans la matinée permettra d’approfondir les principes relatifs à la protection de la vie privée.
Il est essentiel que les institutions veillent à ce que le personnel des ressources humaines et les autres employés priorisent la protection de la vie privée, offrent de la formation et communiquent régulièrement avec les employés au sujet de la protection de la vie privée, des obligations en la matière au titre de la Loi sur la protection des renseignements personnels et des politiques connexes du Secrétariat du Conseil du Trésor.
Certaines des enquêtes que le Commissariat a menées au cours des dernières années ont démontré à quel point la protection de la vie privée touche de nombreux domaines. Par exemple, dans le cadre d’une enquête, nous avons constaté qu’un ministère utilisait les images des caméras de sécurité d’un édifice pour déterminer quand un employé quittait le bureau. L’enquête a permis de conclure que l’utilisation des images n’était pas compatible avec les fins prévues (la sécurité) et que les employés n’avaient pas été informés de la présence des caméras ou qu’elles seraient utilisées à ces fins.
Un autre exemple est celui d’une atteinte à la sécurité de l’information commise par un ministère où travaillaient deux employées portant le même nom. Nous avons reçu une plainte selon laquelle les renseignements personnels d’une employée avaient été communiqués à plusieurs reprises à l’autre employée, et que les dossiers des deux employées contenaient des inexactitudes en raison de la confusion. L’institution n’a pas pris de mesures pour confirmer l’identité de l’employée en question avant d’apporter des changements aux dossiers, par exemple en vérifiant son code d’identification de dossier personnel.
Dans un autre cas, l’évaluation de l’aptitude au travail d’un employé, y compris des renseignements médicaux de nature délicate, a été communiquée à son équipe de gestion sans son consentement et sans raison valable.
L’ère numérique a introduit de nouvelles capacités permettant d’accumuler et de conserver d’énormes quantités de renseignements personnels.
Étant donné que davantage de renseignements personnels sont recueillis et conservés, les risques et les conséquences d’une éventuelle atteinte à la protection des données augmentent.
Au cours du premier semestre du présent exercice financier, le Commissariat a reçu 245 signalements d’atteintes au titre de la Loi sur la protection des renseignements personnels, touchant plus de 37 000 individus. Cela représente environ 41 signalements d’atteintes par mois, soit plus d’un par jour.
Le nombre d’atteintes à la cybersécurité signalées par les organismes gouvernementaux est en hausse. Au cours du dernier exercice, nous avons reçu 55 signalements, contre 37 l’année précédente.
Dans son évaluation des risques de 2025-2026, le Centre canadien pour la cybersécurité a indiqué que « la cybercriminalité constitue toujours pour les particuliers, les organisations et tous les ordres de gouvernement au Canada une menace généralisée et perturbatrice », et que les auteurs de menaces parrainés par l’État « exécutent [continuellement] des opérations de cyberespionnage contre » les réseaux gouvernementaux.
La quantité de renseignements personnels que les organismes gouvernementaux détiennent au sujet des employés et d’autres personnes en fait une cible intéressante pour les cybercriminels et d’autres acteurs malveillants. Il est donc important de prendre particulièrement soin de ne pas recueillir ou conserver plus de renseignements que nécessaire.
Dotation et prise de décisions
Les outils et activités de recrutement virtuels sont devenus populaires, en particulier depuis la pandémie, offrant des services tels que le recrutement par vidéo, la présélection des candidats, la planification des entrevues avec ces derniers et une plateforme pour les entrevues en direct et enregistrées ainsi que la vérification des références.
Les plateformes de recrutement seront abordées plus tard dans la matinée, car elles introduisent également de nouveaux éléments à prendre en considération en matière de protection de la vie privée pour les institutions fédérales afin de garantir le respect des obligations à cet égard.
Les organisations qui adoptent de telles technologies devraient effectuer une évaluation des facteurs relatifs à la vie privée (EFVP). En ce qui concerne la passation de marchés et l’approvisionnement, les responsables de la protection de la vie privée doivent être consultés afin que la protection de la vie privée soit intégrée dès le début.
Une autre nouvelle pratique en matière de ressources humaines consiste à utiliser l’IA ou un logiciel de prise de décisions amélioré par la technologie pour faciliter les processus d’embauche, par exemple pour trier les candidatures aux fins de sélection, ou potentiellement pour évaluer les candidats et leur attribuer une catégorie en fonction de traits de personnalité comme « leader » ou « innovateur ».
Les Principes pour des technologies de l’IA générative responsables, dignes de confiance et respectueuses de la vie privée que j’ai élaborés avec mes homologues des provinces et des territoires mentionnent que certains ensembles de données d’entraînement de l’IA peuvent amplifier les biais historiques et exposer les groupes traditionnellement vulnérables à des résultats discriminatoires.
Ainsi, il est important de mettre en place une surveillance supplémentaire lors de l’utilisation de ces outils, notamment un examen des résultats par un être humain et un suivi des résultats discriminatoires fondés sur la race, le sexe, l’orientation sexuelle, le handicap ou d’autres caractéristiques protégées.
Selon les principes, il faut que les utilisateurs communiquent clairement si un outil d’IA génératif sera utilisé dans le cadre d’un processus décisionnel et, le cas échéant, la façon dont il le sera. Il est également important d’informer les individus des recours qui s’offrent à eux s’ils ne sont pas d’accord avec la décision, surtout lorsqu’une décision peut avoir une incidence importante sur eux.
Pratiques exemplaires : protection de la vie privée dès la conception et EFVP
À cette fin, une pratique exemplaire qui peut être avantageuse pour les organisations consiste à intégrer la protection de la vie privée dès la conception de vos initiatives. Cette approche consiste à créer au sein de votre organisation une culture qui accorde la priorité à la protection des données en examinant et en abordant les risques pour les renseignements personnels et en prenant des mesures de protection à cet égard dès le début de toute initiative.
Les EFVP constituent une façon de mettre en œuvre cette culture. Elles permettent de cerner, d’atténuer et de surveiller les risques d’atteinte à la vie privée dans le cadre d’activités ou de programmes nouveaux ou ayant subi des modifications importantes.
La Directive sur les pratiques relatives à la protection de la vie privée du Secrétariat du Conseil du Trésor exige que les institutions fédérales réalisent une EFVP dans certains cas, notamment lorsque des renseignements personnels peuvent être utilisés dans le cadre d’un processus décisionnel qui touche directement un individu.
Pour en savoir plus sur les EFVP, je vous invite à consulter le site Web du Commissariat. De plus, les organisations peuvent maintenant soumettre des EFVP simultanément au Commissariat et au Secrétariat du Conseil du Trésor en toute sécurité par l’intermédiaire du site Web du Commissariat. Un formulaire en ligne mis à jour accepte les documents de niveau Protégé B ou inférieur. Ce nouveau moyen permet aussi aux institutions d’ajouter facilement, à un moment ultérieur, des documents en lien avec des EFVP qui ont déjà été présentées.
Conclusion
En conclusion, les professionnels des ressources humaines, en tant que groupe, sont reconnus pour accueillir favorablement les nouvelles technologies et les façons modernes de faire les choses. Vous êtes souvent des chefs de file en matière d’innovation, et vous jouez également un rôle important dans la culture et les valeurs organisationnelles.
Il faut plus que jamais faire preuve de rigueur lorsqu’on priorise la protection de la vie privée.
J’encourage la poursuite de la collaboration entre les professionnels des ressources humaines et ceux de la protection de la vie privée, qui peuvent vous aider à vous y retrouver dans le paysage technologique complexe d’aujourd’hui, à améliorer la gestion des renseignements et à être en mesure de traiter de nouveaux problèmes à mesure qu’ils se présentent.
En priorisant la protection de la vie privée dans vos programmes et processus, et en faisant la promotion de la protection de la vie privée dès la conception et de l’innovation responsable, vous contribuerez à favoriser une culture de la protection de la vie privée au sein de votre institution et à assurer sa réussite.
Sur ce, j’ai hâte d’entendre ce que Jacqueline Bogden, dirigeante principale des ressources humaines, a à nous dire, et d’avoir l’occasion de m’entretenir davantage avec elle au sujet de la protection de la vie privée et des ressources humaines.
Ensuite, nous serons ravis de répondre à toutes les questions que vous pourriez avoir.
- Date de modification :